CVE-2026-26830
KrytyczneStreszczenie
Pakiet npm pdf-image w wersjach do 2.0.0 umożliwia wstrzyknięcie poleceń systemowych poprzez parametr pdfFilePath. Funkcje constructGetInfoCommand oraz constructConvertCommandForPage wykorzystują util.format() do interpolacji ścieżek plików kontrolowanych przez użytkownika w ciągi poleceń powłoki, które są wykonywane za pomocą child_process.exec().
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego wykonania poleceń systemowych, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Atakujący może uzyskać dostęp do wrażliwych danych lub przejąć kontrolę nad systemem.
Rekomendacja
Zaleca się aktualizację pakietu pdf-image do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt kodu w celu zidentyfikowania i zabezpieczenia innych potencjalnych miejsc narażonych na wstrzyknięcia poleceń.
Oryginalny opis (angielski, źródło NVD)
pdf-image (npm package) through version 2.0.0 allows OS command injection via the pdfFilePath parameter. The constructGetInfoCommand and constructConvertCommandForPage functions use util.format() to interpolate user-controlled file paths into shell command strings that are executed via child_process.exec()

